L’idea di un sistema unico di identificazione informatica che permettesse di accedere a più servizi online con le stesse credenziali d’accesso non era particolarmente nuova, e infatti se ne trova traccia negli anni, con nomi vari, in molti documenti parlamentari e ministeriali. Però non basta avere una buona idea, serve anche trovare chi ti dia ragione, e retta; e così il nostro Paese continua ad avere ancora oggi, mentre scrivo, una serie di servizi online che hanno modalità di accesso differente.
>> ACQUISTA L’EBOOK ” + DIGITALE – CORRUZIONE + DEMOCRAZIA” CON ULTERIORI INFO, LA TRASFORMAZIONE DIGITALE DELLA PUBBLICA AMMINISTRAZIONE
Poco male? Non esattamente.
Secondo l’indice DESI, usato dalla Commissione Europea per misurare il livello di digitalizzazione raggiunto dai vari Stati membri, la percentuale di utilizzo di servizi eGovernment è molto bassa. I motivi sono molteplici: analfabetismo digitale e resistenza al cambiamento prima di tutto, ma anche scarsa conoscenza dell’esistenza dei servizi, scarsissima qualità e utilizzabilità degli stessi e, infine, anche procedure “barocche” per ottenere le credenziali d’accesso per servizi che vengono utilizzati molto di rado; di conseguenza, la volta successiva che l’utente ha bisogno di accedere, è molto probabile che abbia scordato tali credenziali e che debba quindi recuperarle con altra procedura ancor “più barocca.” La gestione delle identità digitali è anche un costo per i fornitori di servizi; non per nulla sul web da anni hanno preso piede i sistemi di autenticazione di Google o di Facebook.
Chi vuole fornire un servizio personalizzato chiede ad uno dei due colossi di Internet di verificare l’identità dell’utente, e facendo così evita anche di dover gestire tutta la fase di raccolta dei dati anagrafici, del controllo della validità dell’email, e della sicurezza della password. Nel caso dei servizi della PA, le cose si complicano un po’, perché per alcuni servizi occorre essere certi dell’identità dell’utente, e quindi le credenziali di Google o di Facebook non sono sufficienti, come pure non è sufficientemente sicuro il processo per creare un nuovo account in cui si autodichiari la propria identità. Per mol[1]ti servizi della PA serve un livello di sicurezza simile a quello usato per l’home banking, ed è proprio da questo sistema che partimmo il 26 marzo 2013, duran- 128 5. Le infrastrutture digitali te quel primo incontro in via Barberini. L’idea fu quella di definire degli standard tecnici per accertarsi della sicurezza dei sistemi e dei processi di identificazione, e sulla base di quelli definire poi un sistema federato di riconoscimento dell’identità. In altre parole, le regole di SPID, Sistema Pubblico di Identità Digitale, definiscono cosa bisogna fare, in termini di procedure, per essere si]curi che il sig. Mario Rossi a cui si rilasciano le credenziali sia esattamente chi dice di essere, ed anche cosa bisogna fare per assicurare che, successivamente, chi usa le credenziali sia proprio Mario Rossi e non qualcun altro. Quando Mario vuole accedere ad un servizio online della PA, questo per prima cosa lo reindirizza dal suo fornitore di identità digitale.
È come se dicesse: «Caro Mario, io non so chi sei e non ho modo né voglia di controllarlo; allora vai a farti riconoscere dal fornitore di identità, che di lui mi fido. Non dare la password a me che non saprei cosa farci, ma veditela con lui. Se il fornitore mi dice che sei veramente Mario, allora potrai accedere». Oppure, per fare un altro esempio, è come se ad ogni sportello di una PA, invece di mostrare il documento per identificarsi, venissimo tutti mandati prima all’anagrafe a farci identificare e poi l’operatore dell’anagrafe telefonasse a quello del servizio a cui vogliamo accedere, dicendogli: «Ok, servilo pure. È proprio chi dice di essere». Una situazione pazzesca nel mondo analogico, ma estremamente razionale ed efficiente in quello digitale, in cui l’accesso è immediato, e praticamente a costo zero. Con un modello di questo tipo, dunque, si può accedere a tutti i servizi con le stesse credenziali, perché tutti i servizi ci rimandano allo stesso fornitore di identità digitale che si occupa di riconoscerci, chiedendo, appunto, le credenziali. I livelli di sicurezza previsti da SPID, seguendo quanto stabilito dal regolamento eIDAS, sono tre: dalla semplice richiesta della coppia nome utente e password fino al livello massimo, che prevede il possesso di un dispositivo sicuro come una smartcard con microchip. Nella maggior parte dei casi si utilizza il livello intermedio, con autenticazione a doppio fattore, che prevede sia l’inserimento di nome utente e password, sia un codice tempora[1]neo pseudocasuale che viene inviato dal fornitore di identità all’utente tramite un secondo canale di comunicazione, che potrebbe essere l’email, un sms o un’app installata sul telefonino.
La diffusione dello SPID
Man mano che si diffonderà SPID e che verrà usato anche per i servizi online forniti dai privati, bisognerà fare particolare attenzione a questa modalità di autenticazione perché potrebbe esporre l’utente ad attacchi informatici del tipo “man in the middle”. Per evitare questo, 5. Le infrastrutture digitali 129 Quanti fornitori di identità digitale servono? Devono essere pubblici o privati? In quella prima riunione del 2013 la mia posizione fu quella di ritenere che, esattamente come accade con le identità analogiche (cioè i documenti come la carta d’identità o il passaporto), fosse il pubblico a dover rilasciare le identità; ma rendendomi conto dell’enorme ritardo che avevamo accumulato e considerando che il sistema unico di identità digitale era solo il primis[1]simo passo, necessario, ma non sufficiente, per ottenere una PA online, pensai che fosse altrettanto accettabile un sistema federato di fornitori di identità pubblici e privati che condividessero le procedure e che mettessero insieme gli sforzi permettendo ai loro utenti di accedere anche agli altri servizi con le stesse credenziali. Nel 2013 erano già presenti milioni di italiani che venivano identificati online con ragionevole certezza delle loro identità, grazie alle credenziali rilasciate da banche, Comuni, Regioni, Università, INPS e Agen[1]zia delle Entrate. La cosa più intelligente da fare mi sembrava quella di partire da lì. Insieme a Stefano Quintarelli ne parlammo dunque con Francesco Caio, allora Commissario per il digitale, che si adoperò subito per far presentare al Governo un emendamento al decreto-legge che era in conversione in quel momento. Purtroppo, la maggior parte delle norme per la PA digitale nascono così, “infilate” in un emendamento al primo decreto legge di passaggio: perché raramente la programmazione dei lavori della Camera e del Senato assegna sufficiente dignità ad una proposta di legge sul digitale, tanto da farla finire nel calendario dei lavori. Fu così che nella legge di conversione 9 agosto 2013, n. 98, comparve l’articolo 17-ter, aggiunto al decreto legge 69/2013, che istituiva il “Sistema pubblico per la gestione dell’identità digitale di cittadini e imprese”.
Scrivere ciò in una legge, come sappiamo bene, non è sufficiente, e infatti in questo momento, dal sito avanzamentodigitale.italia.it, leggo che sono state rilasciate solo 25.198.696 identità digitali, per circa 60 milioni di italiani. Assumendo che i bambini, per lo meno quelli sotto i 14 anni, non ne abbiano bisogno, siamo comunque molto lontani da una situazione in cui tutti i cittadini quando viene inviato il codice temporaneo va anche specificato, e soprattutto controllato, per quale servizio è stato richiesto, in modo che l’utente che sta accedendo al nuovo servizio A di “Annunci online”, e si vede recapitare un codice temporaneo per l’accesso al servizio B della sua “Banca”, si renda conto che c’è qualcosa che non va, e che forse il servizio A è un servizio finto che si sta mettendo “nel mezzo” della comunicazione e sta cercando di accedere a suo nome al servizio B. 130 5. Le infrastrutture digitali dini sono messi nelle condizioni di accedere in modo semplice ai servizi della PA.
Come mai?
Ma non si doveva partire dalle milioni di identità già rilasciate? Purtroppo si doveva, sì, ma ciò non è stato fatto. Non è facile convincere le banche a mettere a disposizione le loro identità per l’accesso ai servizi della Pubblica Amministrazione, e se poi in una delle tante riunioni ministeriali salta fuori l’obiezione che quelle identità non vanno bene perché i nomi utente non sono uguali all’indirizzo email, ma sono dei codici numerici che i cittadini non saranno in grado di tenere a mente, allora tutto si fa più difficile che mai. Non si capisce perché milioni di utenti possano accedere con i loro codici numerici ai servizi di home banking, ma poi non siano in grado di farlo con i servizi della PA. Misteri delle riunioni ministeriali! Certo, l’indirizzo email è più “carino”, però il risultato è che ci siamo giocati, per ora, milioni di identità già rilasciate. Una volta escluse le banche, si poteva far riferimento ai gestori di identità digitali pubblici, come Regioni, Comuni ed Università, oltre che all’INPS e all’Agenzia delle Entrate, e invece no. Un’altra decisione che mi vide contrario (e perdente) in quelle riunioni ministeriali fu quella di non considerare i fornitori pubblici che avevano già rilasciato le identità, ma chiedere ad alcuni fornitori privati di costruire dei servizi ad hoc, assicurando a questi un non ben specificato futuro ritorno economico. L’idea nasceva dalla considerazione che il pubblico sarebbe stato troppo lento, ingabbia[1]to da procedure farraginose, e con scarse competenze: per fare in fretta servivano i privati.
E infatti… Siamo ancora a 26 milioni di identità in 9 anni.
>> ACQUISTA L’EBOOK ” + DIGITALE – CORRUZIONE + DEMOCRAZIA” CON ULTERIORI INFO
Scrivi un commento
Accedi per poter inserire un commento